Wat is het nieuws?
- Via accounts van medewerkers en met bruut rekengeweld verschaffen Chinese cyberspionnen zich eind 2017 toegang tot de systemen van Nederlandse chipmaker NXP. Die hack blijft ruim twee jaar onopgemerkt.
- NXP stelt dat er geen materiële schade is geleden. Er is wel intellectueel eigendom gestolen, maar nog niet bekend hoeveel.
- Minstens zeven Taiwanese chipbedrijven waren ook slachtoffer van dezelfde hackersgroep. En ook KLM-dochter Transavia werd getroffen.
Ze kwamen binnen via de voordeur en niemand die het merkte.
Een Chinese hackersgroep ‘Chimera’ brak in bij chipfabrikant NXP via accounts van medewerkers. Eenmaal in het bedrijfsnetwerk baanden de hackers zich een weg naar de beveiligde servers, op zoek naar chipontwerpen en andere bedrijfsgeheimen. Daarvoor hadden ze alle tijd: bijna tweeënhalf jaar, van eind 2017 tot voorjaar 2020, hadden cyberspionnen toegang tot de computersystemen van de Nederlandse chipfabrikant. Dat blijkt uit onderzoek van NRC.
In januari 2021 publiceerde beveiligingsbedrijf Fox-IT in een blog details over twee zeer geavanceerde cyberaanvallen, waarvoor de hulp van het het Nederlands-Britse bedrijf was ingeroepen. Het eerste slachtoffer was een niet nader genoemde luchtvaartmaatschappij – later zou blijken dat het Transavia betrof. Daarnaast bleek een ‘Europees bedrijf in de halfgeleidersector’ de klos.
Hoewel de naam van het tweede doelwit in het bericht van Fox-IT ontbreekt, bevestigen meerdere bronnen aan NRC dat het om NXP ging. Die onderneming is, sinds zij in 2015 het Amerikaanse Freescale overnam, de voornaamste leverancier van chips voor de autoindustrie. Na ASML is NXP het waardevolste bedrijf van de Europese chipindustrie, met een beurswaarde van 52 miljard dollar. Beide bedrijven kwamen voort uit Philips.
NXP ontwikkelt ook beveiligde Mifare-chips voor de OV-chipkaart en toegangspassen. Het levert bovendien de secure elements voor chips in de iPhone, voor contactloze betalingen via Apple Pay. Twee maanden geleden was Apple-topman Tim Cook nog in Eindhoven op bezoek om die samenwerking te bezegelen.
Lees ook Topman Tim Cook op bezoek in Nederland: ‘Apple Pay heeft meer dan genoeg concurrentie’
NXP mag dan toonaangevend zijn in beveiliging, de multinational heeft tot begin 2020 niet in de gaten dat hij zelf al geruime tijd gehackt is. In oktober 2017 dringen cyberspionnen binnen. Aanvankelijk gebruiken de hackers daarvoor reguliere accounts van NXP-medewerkers om op het bedrijfsnetwerk in te loggen.
Die accountgegevens halen ze uit eerdere datalekken van andere webdiensten, zoals LinkedIn of Facebook. Door vervolgens met bruut rekengeweld de wachtwoorden te raden, krijgen de hackers toegang tot het VPN-netwerk. NXP heeft zijn systemen weliswaar afgeschermd met een extra code die via de telefoon wordt verstrekt, maar deze dubbele authenticatie omzeilen de hackers door telefoonnummers te wijzigen.
Eenmaal genesteld op een eerste computer – patient zero – breiden de spionnen stapsgewijs hun toegangsrechten uit, wissen tussendoor hun sporen en sluipen stiekem naar de afgeschermde delen van het netwerk. De gevoelige data die ze daar aantreffen proberen ze in versleutelde archiefbestanden weg te sluizen via cloudopslagdiensten als Microsoft OneDrive. Volgens de logbestanden die Fox-IT aantreft, komen de hackers elke paar weken even kijken of er bij NXP interessante nieuwe data te vinden zijn, en of nog meer gebruikersaccounts en delen van het netwerk gehackt kunnen worden.
:strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx3.jpg|//images.nrc.nl/at5s3h3zspIPL2VX5As3decX7ls=/1920x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx3.jpg|//images.nrc.nl/uBkpxqQNzedqzyzBpvGTlTpiiVA=/5760x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx3.jpg)
Tip van Transavia
De computerinbraak bij NXP komt pas aan het licht als een ander Nederlands bedrijf gehackt wordt: luchtvaartmaatschappij Transavia. Op zaterdagochtend 12 september 2019, om 9.52 uur, doen de hackers een inlogpoging bij deze KLM-dochter en verschaffen zich toegang tot de reserveringssystemen. Op 21 oktober ruikt Transavia onraad; de maatschappij doet daarna aangifte bij de Autoriteit Persoonsgegevens (AP).
Wachtwoorden waren voor de hackers makkelijk te raden, en eenmaal binnen stonden alle deuren van het bedrijfsnetwerk wagenwijd open.
Specialisten van Fox-IT worden ingevlogen om de hack te onderzoeken. De beveiligers slagen er na een maand in het lek te dichten, maar dan blijken wel data van 83.000 passagiers gestolen, inclusief adressen en telefoonnummers. De AP legt Transavia uiteindelijk een boete op van 400.000 euro, vanwege de slechte beveiliging van persoonsgegevens. De wachtwoorden waren voor de hackers makkelijk te raden, en eenmaal binnen stonden alle deuren van het bedrijfsnetwerk wagenwijd open.
Het onderzoek bij Transavia levert een opmerkelijke tip op: uit de netwerkgegevens wordt duidelijk dat hackers verbinding maken met IP-adressen in Eindhoven, waar het hoofdkantoor van NXP staat. Zodra NXP daar in januari 2020 over hoort, schakelt het de hulp van Fox-IT in.
Slechts een kleine groep mensen in het Eindhovense hoofdkantoor weet hoe groot de problemen zijn. Ze moeten de hack wel meteen melden; een beursgenoteerd bedrijf moet zulke risico’s aan beleggers doorgeven. Zeker als je, zoals NXP, aan de Amerikaanse Nasdaq genoteerd bent.
Er is nog net tijd om de cyberinbraak mee te nemen in het jaarverslag over 2019. Als Peter Kelly, voorzitter van de raad van commissarissen, en de Amerikaanse topman Rick Clemmer op 27 februari 2020 hun handtekening onder het jaarverslag zetten, is nog niet precies duidelijk wat de impact is. „We geloven niet dat deze hack een materieel effect heeft op onze bedrijfsvoering”, schrijft NXP. Het houdt wel een slag om de arm: „Het onderzoek gaat nog door en we evalueren hoeveel data gecompromitteerd is.”
NXP laat achterwege dat de hackers jarenlang ongehinderd konden rondneuzen. Dat staat ook niet in volgende jaarverslagen.
Met behulp van partijen als Microsoft en opsporingsdiensten probeert de chipfabrikant de schade te inventariseren, de daders te ‘omsingelen’ en in één keer van de IT-systemen af te sluiten. Anders zouden spionnen in een paniekbeweging nog meer schade aanrichten. Fox-IT is er tot april 2020 mee bezig. NXP waarschuwt ook toeleveranciers zoals chipmachinemaker ASML, om de hoek in Veldhoven. ASML is vaker slachtoffer geweest van computerinbraken maar dit keer lopen de systemen geen gevaar.
Volgens de NXP-jaarverslagen van 2020 en 2021 leidt de hack weer niet tot ‘materiële’ schade. Dat is bij IP-diefstal op korte termijn ook meestal niet het geval. De Fox-IT-onderzoekers stellen echter wel dat er intellectueel eigendom gestolen is. Hoeveel, dat is onbekend.
De werkwijze van de hackers is ook duidelijk: zodra grote datahoeveelheden worden weggesluisd, zoals mailboxen of netwerkschijven met vertrouwelijke informatie, worden de bestanden eerst samengeperst, versleuteld en klaargezet om via clouddiensten als Google Drive, Microsoft One Drive en Dropbox gekopieerd te worden. En dat allemaal ongemerkt. Vandaar de naam van het blogbericht over het onderzoek van Fox-IT: Abusing cloud services to fly under the radar.
Dat onder de radar vliegen is een wrange knipoog naar de Transavia-zaak. Sinds deze week, nadat NRC het verhaal aan NXP voorlegde voor een reactie, is het blogbericht offline. Het is nog wel via webarchieven te vinden.
Hacken tijdens Chinese kantooruren
Wie zit er achter de hack? Fox-IT concludeert dat het naar alle waarschijnlijkheid één en dezelfde dadergroep is die in 2018 en 2019 ook inbrak bij ten minste zeven chipfabrikanten in Taiwan. Het Taiwanese securitybedrijf CyCraft publiceert in april 2020 de details over die zaak: het gaat om een „grootschalige, goed gecoördineerde aanval” op Hsinchu Science Park in Taiwan, waar onder meer het hoofdkantoor van chipgigant TSMC staat. Daar waren de aanvallers op zoek naar chipontwerpen en software. De groep professionele cyberspionnen achter deze aanval doopt CyCraft Chimera. Die naam is afgeleid van de software waarmee de hackers verbinding maken en gegevens wegsluizen. Ze gebruiken ChimeRAR, een aangepaste versie van een datacompressieprogramma. Daarnaast is hun modus operandi te herkennen aan het wachtwoord dat ze gebruiken om de buit te versleutelen: ‘fuckyou.google.com’.
CyCraft noemt Chimera een APT-groep, een advanced persistent threat, die Chinese belangen dient. Het doel van de aanvallers is intellectueel eigendom te stelen, zoals documenten over chips, ontwerpen en software voor halfgeleiders en broncode. Als de Nederlandse en de Taiwanese veiligheidsexperts in 2021 hun onderzoeksgegevens met elkaar vergelijken, zien ze dat van de liefst 67 gebruikte aanvalstechnieken er 42 identiek zijn aan de cyberaanvallen op NXP. Genoeg bewijs om de hand van Chimera te herkennen.
Om de gehackte computers op afstand aan te sturen, gebruiken de aanvallers Cobalt Strike, dezelfde software die veiligheidsexperts inzetten om de robuustheid van netwerken te testen. Daarnaast gebruiken ze trucs die worden gedeeld op Chinese fora.
De link naar China blijkt ook uit de ‘kantooruren’ – cyberspionage is uiteindelijk ook maar een baan achter een beeldscherm. Aan de logbestanden, die meer dan twee jaar beslaan, is te zien dat de werktijden precies overeenkomen met de Chinese tijdzones, inclusief een pauze rond het middaguur. De hackers hacken alle dagen van de week, maar ’s zondags niet. En de langere periodes dat de spionnen niet of nauwelijks actief zijn, vallen precies samen met de Chinese vakantietijd, de zogeheten Golden Week.
De modus operandi van de hackers is te herkennen aan het wachtwoord dat ze gebruiken om de buit te versleutelen: ‘fuckyou.google.com’.
China is wereldwijd de grootste importeur van chips en doet er alles aan om minder afhankelijk te worden van westerse fabrikanten. Terwijl de VS de technologische opmars van China proberen af te remmen met exportbeperkingen, steekt de Chinese overheid tientallen miljarden in de bouw van chipfabrieken. Ook stimuleert China dat ingenieurs die bij westerse techbedrijven werken, hun expertise inzetten voor het moederland. NXP is een van de techbedrijven die te maken hadden met Chinese medewerkers die kennis meenamen. En daarnaast zijn er de hackersgroepen die hightech-kennis proberen te stelen.
Veiligheidsdienst AIVD heeft er geen twijfel over dat cyberspionnen die infiltreerden bij NXP banden hebben met China. In het jaarverslag van 2020 waarschuwt de inlichtingendienst dat digitale spionage van China erop gericht is de eigen economie te laten groeien. „Het bemachtigen van kennis en technologie is daarbij een speerpunt. Het land toonde in 2020 wereldwijd interesse in de semiconductorindustrie, de telecomsector, bio-farmaceutica en biotechnologie.”
:strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx2.jpg|//images.nrc.nl/3ELHLOVvpECf5oBHZLOlhs5wIew=/1920x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx2.jpg|//images.nrc.nl/vxGWvsu4WB74laA3DSWBDrGkAVo=/5760x/smart/filters:no_upscale():strip_icc()/s3/static.nrc.nl/bvhw/files/2023/11/web-2411econpx2.jpg)
De kroonjuwelen
NXP groeide het afgelopen decennium snel. Het is nu een bedrijf met 34.500 medewerkers, de omzet bedroeg vorig jaar ruim 13 miljard dollar. Daarvan komt 4,7 miljard van verkopen in China, waarmee het land NXP’s belangrijkste afzetmarkt is. Ongeveer 1,8 miljard dollar is afkomstig van omzet in de VS.
Even leek het erop dat NXP zelf Amerikaans zou worden, toen chipfabrikant Qualcomm in 2016 een bod van 47 miljard dollar deed op NXP. Chinese autoriteiten blokkeerden die deal in 2018, als een reactie in de techoorlog die de VS ontketenden. Toen de hack begon, was de voorbereiding op de overname van NXP bezig; voor hetzelfde geld had de cyberspionage ook Qualcomm geraakt.
De spionnen leken echter vooral gericht op de kroonjuwelen van NXP, de chipontwerpen. Maar er is meer nodig om chips te maken; het vergt ook gespecialiseerde kennis om de halfgeleiders daadwerkelijk te produceren. Die gegevens worden op andere plekken bewaard. NXP zag daarom in 2020 geen aanleiding specifieke klanten te waarschuwen voor de Chimera-inbraak. In recentere jaarverslagen is NXP wel iets explicieter over de risico’s van cyberspionage. „Wij, onze klanten en andere partijen kunnen daardoor aansprakelijk gesteld worden voor de gevolgen, beschadiging van onze reputatie en mogelijke financiële verliezen.”
Tegen een gecoördineerde aanval door statelijke actoren kun je je moeilijk verweren – zelfs de Taiwanese hightechsector bleek niet immuun voor cyberspionage. In zo’n geval kan je alleen hopen dat de inbraak snel ontdekt wordt. NXP verscherpte na 2020 de netwerkmonitoring en geeft medewerkers minder ruimte om gegevens te downloaden of te kopiëren.
De Chimera-hackers staan in de beveiligingswereld nu te boek als ‘G0114’. De hightechsector ligt ook in 2022 en 2023 onder vuur van andere APT-groepen die soms met dezelfde gereedschappen inbreken als Chimera, zeggen kenners in de Aziatische beveiligingsindustrie. Volgens hun ervaring zitten hackers meestal een paar maanden ‘in het veld’ voordat ze ontdekt worden. Dat inbrekers jarenlang onder de radar blijven is uitzonderlijk.
NXP blijft het doelwit van cyberaanvallen. In september 2023 maakte het bedrijf dat het slachtoffer van een datalek was. Deze keer ging het niet om de interne systemen, maar om een database die de persoonsgegevens van bezoekers aan de NXP-website bewaart. Deze inbraak vond plaats op 11 juli. Het lek was binnen drie dagen ontdekt en gedicht, meldde NXP. Een stuk sneller dan tweeënhalf jaar.
Lees ook Waarschuwing voor doorbraak AI met de potentie ‘de mensheid te beschadigen’ leidde ontslag Altman in
